Brésil, terre fertile pour les bankers

Toute personne qui a analysé le code des programmes malveillants chargés de voler les données des clients de certaines banques ne peut que confirmer qu’ils sont nombreux à provenir du Brésil. Pourquoi le Brésil figure-t-il parmi les premiers pays producteurs de ce genre de programme malveillant ? Qui se cache derrière ces crimes et quel est le portrait-robot de ces cybercriminels ? L’analyse des particularités du code malveillant écrit au Brésil nous a permis d’apporter quelques éléments de réponses.

Et pourquoi le Brésil ?

Le Brésil est un des plus grands Etats d’Amérique latine et compte une population d’environ 200 millions d’habitants. Près d’un tiers des habitants, soit 70 millions d’individus, utilise Internet et ce nombre ne cesse d’augmenter.

La fracture sociale entre les classes pauvre, moyenne et riche y est très marquée. Dans ces conditions, la richesse des uns pousse les personnes à faibles revenus à entreprendre des actions illicites, notamment le développement d’applications malveillantes, qui permettent de voler les données bancaires de clients. Les systèmes bancaires en ligne sont très développés dans le pays… il est normal que ce genre d’activité criminelle soit attrayant. La législation brésilienne ne dispose par ailleurs pas de textes qui permettraient d’agir efficacement contre les cybercriminels.

La banque la plus importante au Brésil est la Banco do Brasil qui compte 7,9 millions de clients, suivie par Bradesco avec 6,9 millions de clients, Itaú avec 4,2 millions et Caixa avec 3,69 millions. Ce nombre d’utilisateurs est suffisamment important pour inspirer les cybercriminels : même si le pourcentage d’attaques réussies pour ces délinquants est faible, les sommes obtenues peuvent être considérables.

Cibles

Malheureusement, les victimes des attaques des cybercriminels sont les nombreux clients de diverses banques.


Répartition des applications malveillantes pour le vol de
données personnelles des clients de diverses banques

Comme l’illustre ce diagramme, les programmes malveillants développés pour voler de l’argent des comptes en banque ciblent principalement les clients des banques Bradesco, Caixa, Banco do Brasil et Itaú. Ces chiffres ne sont pas étonnants car il s’agit des 4 banques les plus importantes du Brésil dont les services sont utilisés par des millions de personnes.

Outre le nombre de clients, les mécanismes de protection mis en place par telle ou telle banque influencent également les cybercriminels. Quelles sont les démarches adoptées par les banques pour garantir la sécurité des transactions de leurs clients ?

De nombreuses banques proposent à leurs clients, avant d’accéder à la page de consultation des comptes, d’installer le module externe spécial G-Buster qui empêche l’exécution de n’importe quel code malveillant sur l’ordinateur du client au moment de l’autorisation ou directement pendant la transaction. Les banques Caixa et Banco do Brasil utilisent exclusivement cette méthode pour garantir la sécurité de leurs clients. Malheureusement, la présence du module externe G-Buster sur un ordinateur n’est pas une garantie de la sécurité des communications entre le client et la banque via Internet.

D’autres banques, comme Itaú, offrent des moyens de protection supplémentaires à côté du module externe cité ci-dessus : il peut s’agir de dispositifs à base de token ou de cartes de sécurité uniques.


Carte de sécurité employée par la banque Itaú

La banque Bradesco propose à ses clients un moyen de protection supplémentaire dont le principe consiste à créer pour chaque client une paire unique de clés numériques (certificats). Une clé est conservée directement sur l’ordinateur du client tandis que la deuxième est enregistrée sur un périphérique externe. Lorsque l’ordinateur se connecte au site de la banque, le système demande le chemin d’accès au deuxième certificat. Afin d’obtenir l’accès, le client doit brancher le périphérique externe contenant le deuxième certificat (par exemple, une clé USB) sur l’ordinateur.

Les avantages et les inconvénients des diverses formes d’authentification utilisées par les banques ont déjà été abordés dans le blog de Kaspersky Lab. En théorie, ces mécanismes doivent offrir une sécurité raisonnable aux utilisateurs. Dans la pratique, comme nous allons le voir, la situation est loin d’être parfaite. Malheureusement, les mécanismes de protection employés ne garantissent pas la sécurité complète des clients ou ils coûtent de l’argent et les clients ne veulent pas les acheter. Ainsi, le client intéressé par le système du token devra l’acheter. Et c’est pour cette raison que de nombreux clients n’utilisent pas le périphérique et s’exposent aux attaques des cybercriminels.

Quelles sont les méthodes employées par ces derniers pour l’infection massive la plus efficace des ordinateurs des clients ?

Sites infectés

Le vecteur le plus souvent utilisé pour la diffusion des applications malveillantes est la page Web. Les cybercriminels s’introduisent dans des sites légitimes du monde entier ou utilisent des hébergements temporaires ou gratuits pour charger les programmes malveillants. Il est intéressant de constater que des domaines appartenant à la société russe RBC Media sont souvent utilisés pour l’hébergement de programmes malveillants : nm.ru, pochta.ru, etc.

Dans certains cas, lorsque les cybercriminels ne cherchent pas un site temporaire mais une ressource longue durée, ils exploitent les techniques de définition des adresses IP des victimes potentielles afin d’utiliser un hébergement résistant aux abus. La valeur de l’adresse IP de l’utilisateur qui visite une page Web infectée permet aux cybercriminels de mener des attaques ciblées et de mettre les applications malveillantes à l’abri des éditeurs de virus. Les experts en sécurité informatique et les personnes qui habitent dans des pays d’Amérique latine n’ont pas accès au code binaire malveillant. Dans la majorité des cas, ils reçoivent des photos de jeunes brésiliennes.

Comment les clients des banques visitent-ils les pages infectées ? Ils sont dirigés vers ces pages à l’aide de messages non sollicités qui exploitent les méthodes classiques de l’ingénierie sociale. Parfois, ces messages imitent des messages qui auraient été envoyés par la banque elle-même ou présentent des flashs d’informations en rapport avec la vie sociale du pays. Il ne faut pas non plus oublier le spam pornographique. Dans tous les cas, les liens du message non sollicité mènent vers la ressource infectée.

Attaque à la brésilienne

Il est important de signaler que les bankers brésiliens ne sont jamais diffusés en tant que fichier individuel. Tout en ensemble de programmes malveillants est installé sur les ordinateurs des victimes.

Les cybercriminels réalisent des attaques complexes et ne se concentrent pas uniquement sur les données bancaires. Le schéma classique d’infection ressemble à ceci :


Schéma classique d’infection des ordinateurs des postes clients de diverses banques

Au début, il y a un cheval de Troie sur le serveur. Celui-ci doit charger et installer tous les autres programmes malveillants dans le système de l’utilisateur :

  • Programme volant les données d’utilisateurs de réseaux sociaux.
  • Programme de lutte contre les logiciels antivirus ;
  • Un ou deux bankers qui doivent surveiller toutes les connexions avec les banques, les intercepter et envoyer le mot de passe et le nom d’utilisateur aux cybercriminels.

Réseaux sociaux

Les réseaux sociaux sont devenus aujourd’hui une source importante d’informations sur pratiquement tous les aspects de la vie d’un utilisateur. Nom complet, date de naissance, domicile, rang social de l’utilisateur, etc. Ces données peuvent être exploitées par un cybercriminel, par exemple pour recevoir « officiellement » les informations relatives au code secret d’une carte bancaire via le centre d’appels de la banque.

Orkut est le réseau social le plus populaire au Brésil. Ce réseau compte près de 23 millions d’utilisateurs dans le monde entier mais les Brésiliens constituent près de 54 % de ce nombre. Ce sont principalement les utilisateurs de ce réseau social qui sont le plus souvent soumis aux attaques des cybercriminels brésiliens.


Extrait d’un code développé pour voler les mots de passe des utilisateurs
du réseau social Orkut

En règle générale, les données personnelles de l’utilisateur obtenues et le mot de passe d’accès au réseau social sont envoyés par courrier électronique à l’adresse des cybercriminels.

Lutte contre les modes de protection

Comment les cybercriminels luttent-ils contre les logiciels antivirus installés et contre le module externe G-Buster ?

Pour rappel, ce module externe doit garantir la sécurité des transactions des clients de nombreuses banques. Afin de protéger G-Buster contre la suppression par une application malveillante quelconque, les éditeurs du module utilise la technologie de dissimulation de l’activité afin d’implanter le module très profond dans le système. Les cybercriminels se sont tournés vers des applications légitimes développées pour lutter contre les outils de dissimulation de l’activité.

Le logiciel Avenger de lutte contre les outils de dissimulation de l’activité est le plus populaire. Lorsque l’ordinateur est infecté, un cheval de Troie télécharge cet utilitaire dans le système ainsi que la liste des fichiers à supprimer (instructions). Pour supprimer le module externe, les cybercriminels doivent lancer l’utilitaire et redémarrer le système.


Fonction du code de suppression du module externe G-Buster à l’aide
de
l’utilitaire légitime de lutte contre les outils de dissimulation de l’activité Avenger

Le seul paramètre de l’utilitaire est le chemin d’accès aux fichiers. Comme le montre la capture d’écran, dans ce cas le module externe G-Buster peut être supprimé uniquement dans des systèmes en portugais ou en anglais.

Après le redémarrage du système, le module externe original est complètement supprimé et il est parfois remplacé par un module modifié avec une fonction malveillante. Le module modifié permet à l’utilisateur d’accéder au compte en banque mais il vole les données et les transmet aux cybercriminels.

L’utilitaire de lutte contre les outils de dissimulation d’activité Avenger adopte la même méthode avec des fichiers précis à supprimer au redémarrage de l’ordinateur pour supprimer les logiciels antivirus du système de l’utilisateur.

Vol de données


Partie du code responsable de l’envoi des données volées vers un
serveur distant de base de données


Extrait de la base de données (comptes utilisateurs volés par les cybercriminels


Extrait de la base de données de la banque Bradesco (données des clients
volées par des cybercriminels)

Les illustrations ci-dessus présentent des extraits de bases de données réelles qui abritent les données des clients : nom d’utilisateur, mot de passe, certificat de sécurité, etc.

Toutefois, les cybercriminels ne se limitent pas au vol des informations bancaires et des données d’accès aux réseaux sociaux. Bien souvent, ils essaient d’obtenir l’adresse MAC de la carte de réseau de l’utilisateur, l’adresse IP, le nom de l’ordinateur et d’autres données qui pourraient servir pour la connexion à la banque. Ils tentent de la sorte de se protéger et de compromettre leur victime : si la banque ouvre une enquête, les journaux indiqueront que c’est le client lui-même qui a retiré ou transféré l’argent vers un autre compte.

Les adresses électroniques utilisées sur l’ordinateur infecté et les mots de passe d’accès aux comptes de messagerie sont d’autres morceaux de choix pour les cybercriminels. Tout d’abord, ces mots de passe et ces adresses sont très souvent utilisés pour accéder aux réseaux sociaux. Et comme nous l’avons déjà dit, cela donne d’immenses possibilités pour les délits ultérieurs. En outre, il se peut que ces adresses soient enregistrées auprès de la banque comme principale adresse de communication électronique avec le client. Ces adresses sont donc de confiance pour les banques.

Afin de voler les mots de passe d’accès aux messageries électroniques, les cybercriminels utilisent des applications légitimes qui sont utilisées normalement pour aider les utilisateurs qui ont oublié leur mot de passe et qui ont besoin d’aide pour le rétablir. Ces applications sont capables de lire les mots de passe enregistrés dans les clients de messagerie les plus répandus : Microsoft Outlook, Microsoft Outlook Express, etc.

Les adresses électroniques et les mots de passe d’accès aux messageries ainsi obtenus sont transmis à des sites Web distants.


Extrait de code qui montre comment les adresses volées sont transmises
à un serveur Web distant


Les données volées par les cybercriminels sont conservées sur un
serveur Web

Portrait de cybercriminel

Après avoir obtenu les données personnelles de l’utilisateur et l’accès au compte en banque de celui, les cybercriminels utilisent des cybermules dont les comptes sont employés pour réaliser la première transaction depuis le compte de la victime (lorsqu’il s’agit de sommes importantes). Les mules transfèrent ensuite l’argent vers un troisième compte en échange d’un pourcentage défini. Pour les sommes plus petites (de 200 à 500 dollars), l’argent est transféré directement vers le compte des cybercriminels dès la première transaction.

Afin de comprendre qui se cache derrière ces crimes, nous devons analyser les faits suivants :

  • La quasi-majorité des exemples de banker sont écrits en Delphi.
  • Certains échantillons sont infectés par les virus Virut ou Induc.
  • Dans certains cas, des sites Web légitimes sont compromis pour assurer la diffusion des programmes malveillants.

L’analyse des applications développées dans les universités brésiliennes a démontré que Delphi ne fait pas partie des langages de programmation enseignés. La programmation en Delphi ne s’apprend pas à l’université mais dans diverses formations en informatique ou dans des écoles techniques. Cela signifie que les criminels n’ont pas forcément suivi une éducation supérieure et qu’ils peuvent être relativement jeunes.
L’infection des échantillons par des virus tels que Virut peut signifier que les ordinateurs des cybercriminels sont également infectés. Bien souvent, il faut chercher la source de ces infections sur les sites proposant des versions craquées d’application, des numéros de série, du contenu pornographique ou dans les réseaux p2p. Ce sont des sites et des applications de ce genre qui sont le plus souvent utilisés par les cybercriminels. Au Brésil, ces sites sont visités principalement par des jeunes. Il s’agit d’une confirmation indirecte du fait que ces cybercriminels ne sont pas très âgés, même si ce genre d’activité peut être réalisé par des individus de n’importe quelle tranche d’âge.

Le fait que les cybercriminels compromettent des sites légitimes indiquent qu’ils travaillent en équipe. Chaque membre de l’équipe est spécialisé dans un domaine : piratage, développement de code malveillant, etc.

Ainsi, les attaques menées contre les clients des banques brésiliennes ne sont pas l’œuvre d’une personne isolée mais de groupes de cybercriminels composés de jeunes personnes issues de familles pauvres. Ecrire un code malveillant, infecter des utilisateurs, voler de l’argent, le dépenser et recommencer : tel est leur mode de vie.

Une enquête menée récemment par la police brésilienne a débouché sur l’arrestation de cybercriminels dont voici quelques photos :


Photos des cybercriminels (archives de la police fédérale brésilienne

Piste russe

Les bankers brésiliens se distinguent par la grande taille des fichiers, la chaîne en portugais dans le code, etc. A intervalles réguliers, les experts de Kaspersky Lab ont identifié des échantillons particuliers.

Ces bankers sont développés afin de ressembler aux modèles classiques : ils attaquent les mêmes banques et les noms des fichiers peuvent correspondre aux noms utilisés par les cybercriminels brésiliens. Toutefois, une analyse détaillée met en évidence des différences notables :

  • La taille du fichier est optimisée ;
  • Le système d’exploitation sur lequel la compilation a eu lieu n’est pas en portugais ;
  • Les données volées sont transmises via des canaux protégés.

Qui sont les auteurs de ces bankers ? Des criminels brésiliens qui ont été à l’université ? Probablement pas.

Tout d’abord, au lieu de supprimer le module externe de sécurité de la banque à l’aide du classique Avenger, ces bankers utilisent un autre utilitaire appelé Partizan. Cet utilitaire de lutte contre les outils de dissimulation d’activité appartient à l’application UnHackMe, diffusée en russe.

Ensuite, le code ne contient aucune chaîne en portugais.

Troisièmement, l’analyse du canal sécurisé pour le transfert des données a mis en évidence des données d’enregistrement intéressantes :


Données d’enregistrement d’une des connexions utilisées pour
le transfert des données d’identification bancaires volées

Qui sont les auteurs de ces attaques ? A première vue, on pourrait croire que nous sommes en présence d’auteurs de virus brésiliens. Et si des poursuites judiciaires étaient lancées, l’enquête commencerait au Brésil. Toutefois, les données d’enregistrement et certains autres indices (par exemple, le langage de programmation, la taille des fichiers et les chaînes du code) indiquent que l’argent des clients de banques brésiliennes est dérobé par des cybercriminels russes. Russie 1 – Brésil 0 !

Conclusion

La police brésilienne réalise un énorme travail pour capturer les cybercriminels. Mais pourquoi le nombre de programmes malveillants continue-t-il d’augment chaque jour ?
Des investigations sont peut-être à mener du côté des banques et de leur réaction au vol d’argent. Pour l’instant, les banques ne veulent pas faire trop de bruit. Si un client est victime d’un vol suite à l’infection de son ordinateur par un code malveillant, la banque lui propose de rembourser la somme correspondante sans réaliser d’enquête publique sérieuse. Le client est simplement invité à formater l’ordinateur et à réinstaller le système d’exploitation.

Il existe également des problèmes d’échange de données entre les unités de police brésiliennes chargées de la lutte contre le cybercrime. A vrai dire, ce problème n’est pas propre au Brésil. On le rencontre dans d’autres pays.

Un des facteurs qui explique la réussite des cybercriminels est le faible niveau de connaissance des clients des banques en matière de sécurité Internet.

Tant que tous les problèmes (niveau de connaissance faible des utilisateurs en matière de sécurité Internet, politique des banques, conditions sociales, législation mal adaptée) cités ci-dessus n’auront pas été résolus, il ne fait aucun doute qu’Internet sera plus dangereux. Les banques devraient investir dans des dispositifs de sécurité supplémentaires pour protéger leurs clients au lieu de leur verser de l’argent. Cela réduirait la possibilité de vol de l’argent des clients et au final, les dépenses seraient moindres.

Il est évident également que la mise en place d’un nouveau modèle d’échange d’informations entre les sociétés spécialisées dans la protection des ressources informatiques et les forces de l’ordre des différents pays s’impose. Tant qu’il n’y aura pas de coopération, il sera difficile de réduire sensiblement les niveaux de cybercriminalité.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *